04.09.2009

Разработка модели угроз только на основании их вероятности

НПП ИТБ опубликовало ряд "аналитических" материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка - статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая - деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные выводы бесполезно.

В качестве доказательства такого заблуждения достаточно привести банальный пример - выбор системы защиты для моего домашнего компьютера. Среди распространенных угроз по мнению НПП ИТБ сегодня можно выделить компрометацию системы и повышение привилегий. Исходя из выводов специалистов НПП ИТБ, чтобы защититься от этих угроз недостаточно использовать IPS или антивирус - они неспособны бороться с проблемой. Рекомендация - поставить КСЗИ "Панцирь" ;-) Но вот беда - я дома использую MacBook и с названными угрозами (как и с большинством других - спамом, вирусами, троянами, червями) пока не сталкивался (за больше чем год активного серфинга в Инете).

Также авторы аналитики забыли, что для того, чтобы считать угрозу актуальной, надо оперировать не только вероятностью ее реализации, но и потенциальным ущербом. Они же поступили просто, - напрочь отметая экспертную оценку как адекватный метод оценки, самые вероятные угрозы назвали и самыми опасными ;-)

Еще один пассаж вызвал мой интерес. В качестве безусловной истины был назван "следующий тезис – защитить можно только тот объект, который локализован (обладает заданным фиксированным набором), как в части подключаемых устройств, так и в части используемых приложений". В качестве доказательства безусловности приведена ссылка на РД ФСТЭК по АС (от 1992-го года). Вот интересно, как тогда мой корпоративный лэптоп защищается уже 4 года? А ведь ни в части подключаемых устройств (как это сделать для Wi-Fi, Bluetooth и даже обычного сетевого подключения с динамической адресацией?), ни в части используемых приложений, я не могу похвастаться формализацией - для защиты используются совершенно иные принципы, которые отметаются авторами отчета как неэффективные.

Еще интересным я посчитал другую "очевидную" истину для специалистов НПП ИТБ - якобы в корпоративных системах должен использоваться только принцип "что не разрешено - запрещено". Я уже вступал в полемику с представителями НПП ИТБ на bankir.ru и опять повторюсь - такой принцип не работает в сколь-нибудь крупной, динамичной и открытой организации. Например, в Cisco. Как будет служба ИБ разрешать 70 тысячам сотрудников доступ на каждый чих СЗИ, изначально непрописанный в политике? И сколько таких сотрудников ИБ должно быть? И как будут "довольны" пользователи в такой ситуации? На бизнес наплевать, зато ИБ будет на высоте. В качестве примера "неудачной" СЗИ названа система защиты в ОС Windows. Правда потребитель почему-то тратит миллиарды долларов на продукцию именно Microsoft, а не апологетов параноидальной безопасности в ущерб бизнесу ;-)

Мелочи, вроде невозможности рекламируемого средства бороться с угрозами на уровне бизнес-приложений (как это преподносится), я даже не буду описывать - про это на bankir.ru уже немало копий было сломано.

ЗЫ. Зато реклама СЗИ от НПП ИТБ удалась ;-)

ЗЗЫ. Материалы конца 2009-го года опираются на статистику середины 2008-го. Толи материал раньше не могли опубликовать, толи новой статистики не нашли.

ЗЗЗЫ. Опять критикую ;-( Но вчерашние и позавчерашние документы (надеюсь были полезны) немного нивелируют эту критику ;-)

16 коммент.:

swan комментирует...

А я со всем согласен ...
Скоро СрЗИ будут продавать с лозунгами "- это модно!".

P.S. хотя так по моему уже кое кто делает )))

Алексей Лукацкий комментирует...

Ну мода - один из мотивов продвижения

swan комментирует...

Вообще каковы мотивы выбора СрЗИ хотя можно было рассмотреть мотивы выбора или не выбора платных и бесплатных СрЗИ. Что выбрать - средство защиты или изменить образ жизни, отказаться от чего то...
Думаю тема глубокая... Кто и как ограничивает этот выбор...

swan комментирует...

вот кстати...
http://nnm.ru/blogs/russouth/antivirusnaya_zashita_nuzhen_vtoroy_eshelon/#cut

Ригель комментирует...

Странные вы: где продажа, там и маркетинг - хоть это стиральный порошок, хоть СЗИ.

swan комментирует...

Про стиральный порошок - это ассоциация с интервью ESET ?

Для покупки стирального порошка есть объективная реальность - грязные *** !
Для покупки СрЗИ есть ... страх запачкаться ?!

Алексей Лукацкий комментирует...

Конечно есть ;-)

Анонимный комментирует...

особенно трогательно в тэгах к статье:

Ключевые слова: персональные данные Панцирь-К НПП Информационные технологии в бизнесе

Maria Sidorova комментирует...

Со многим соглашусь, но не совсем.
Очень своеобразная практика откинуть вообще потенциальный ущерб, забыть про экспертные оценки и считать защищенными только локализованные объекты (((((

Возвращаясь к вопросу о маркетинге, у нас на семинаре был такой диалог:
Студент: Маркетинг - это наука о том, как обмануть покупателя.
Преподаватель: Как? Если ты его обманешь он к тебе больше не придет и ты много не заработаешь.
Студент: Тогда я понял. Маркетинг - это наука о том, как регулярно обманывать покупателя.

Алексей Лукацкий комментирует...

Ну это первая и вторая стадия маркетинга ;-)

swan комментирует...

Страшно когда наступает 3-я стадия - когда сам веришь !

BDV комментирует...

у меня ощущение что вы лежите на пляжу и философствуете :) :) пора возвращаться на работу :)

Алексей Лукацкий комментирует...

Вот лежу я на пляжу и в экран компа гляжу...

Ригель комментирует...

выпил ром и не жужжу

Maria Sidorova комментирует...

А если еще на этом пляжу нет ни твоего ноутбука ни коммуникатора...

Алексей Лукацкий комментирует...

Ну коммуникатор есть всегда ;-)